EncryPthub olarak bilinen tehdit oyuncusu, Microsoft Windows’ta yakın zamanda paketlenmiş bir güvenlik açığından, Rhadamanthys ve Stealc gibi arka kapı ve bilgi samançıları da dahil olmak üzere çok çeşitli kötü amaçlı aileler sunmak için sıfır gün olarak kullandı.
Trend Micro araştırmacısı Aliakbar Zahravi bir analizde, “Bu saldırıda, tehdit oyuncusu .msc dosyalarını ve çok dilli kullanıcı arayüz yolunu (Muipath) manipüle ediyor, kötü niyetli yükü indirmek ve yürütmek, enfekte sistemlerden kalıcılığı korumak ve hassas verileri çalmak.” Dedi.
Söz konusu güvenlik açığı, Microsoft tarafından Microsoft Yönetim Konsolu’nda (MMC) uygunsuz bir nötralizasyon güvenlik açığı olarak tanımlanan CVE-2025-26633’tür (CVSS skoru: 7.0). Şirket tarafından bu ayın başlarında Salı günü düzenlemesinin bir parçası olarak sabitlendi.
Trend Micro, Water Gamayun adı altında şüpheli Rus aktivite kümesini izleyerek Alan MSC EVILTWIN’den istismar verdi. Son zamanlarda ProDaft ve Outpost24 tarafından yapılan analiz konusu olan tehdit oyuncusu Larva-208 olarak da adlandırılır.
CVE-2025-26633, özünde, MSC Eviltwin yükleyici olarak adlandırılan bir PowerShell yükleyici aracılığıyla kötü niyetli bir Microsoft Konsolu (.msc) dosyasını yürütmek için Microsoft Yönetim Konsolu Çerçevesinden (MMC) yararlanır.
Özellikle, aynı adı taşıyan iki .msc dosyası oluşturma yükleyicisini içerir: bir temiz dosya ve aynı konumda ancak “en-us” adlı bir dizinin içine düşen haydut muadili. Fikir, birincisi çalıştırıldığında, MMC yanlışlıkla kötü amaçlı dosyayı seçer ve yürütür. Bu, MMC’nin çok dilli kullanıcı arayüz yolu (Muipath) özelliğinden yararlanarak gerçekleştirilir.
Zahravi, “MMC.EXE’nin Muipath kullanma şeklini kötüye kullanarak, saldırgan Muipath EN-US’yi kötü amaçlı bir .msc dosyasıyla donatabilir, bu da MMC.EXE’nin orijinal dosya yerine bu kötü amaçlı dosyayı yüklemesine ve kurbanın bilgisi olmadan yürütülmesine neden olur.”
EnfryPthub, .msc dosyalarını kullanarak enfekte bir sistemde kötü amaçlı yükü çalıştırmak için iki yöntem daha da benimsediği gözlemlenmiştir –
- Mağdurun Makinesi’ne bir sonraki aşamalı yükü indirmek ve yürütmek için MMC’nin ExecuteShellCommand yöntemini kullanarak, Ağustos 2024’te daha önce Hollanda Siber Güvenlik Şirketi Outflank tarafından belgelenen bir yaklaşım
- Kullanıcı Hesabı Kontrolünü (UAC) atlamak ve “WMIMGMT.MSC” adlı kötü niyetli bir .msc dosyası bırakmak için “C: \ Windows \ System32” (Windows’tan sonraki alanı not edin) gibi sahte güvenilir dizinler kullanma
Trend Micro, saldırı zincirlerinin muhtemelen DingTalk veya QQtalk gibi meşru Çin yazılımlarını taklit eden dijital olarak imzalanan Microsoft Installer (MSI) dosyalarını indiren kurbanlarla başladığını ve daha sonra yükleyiciyi uzak bir sunucudan almak ve yürütmek için kullanıldığını söyledi. Tehdit oyuncusu Nisan 2024’ten bu yana bu teknikleri denediği söyleniyor.
Zahravi, “Bu kampanya aktif geliştirme altındadır; kalıcılığı korumak ve hassas verileri çalmak için tasarlanmış çoklu teslimat yöntemi ve özel yükler kullanır, daha sonra saldırganların komut ve kontrol (C&C) sunucularına sunar.” Dedi.